PR

 「名声の代償は高くつく」とよく言われるが,マイクロブログ・サイト「Twitter」はまさに,その高い代償を払っている。人気急上昇中のTwitterに目をつけるサイバー犯罪者が増加し,Twitterの運営者は対応に追われているのだ。

Twitter人気の代償

 Twitter人気は,一般ユーザーだけでなくサイバー犯罪者の間でも高まっているようだ。実際,過去数カ月の間,Twitterはスパム・ボットに苦戦し続けた。Twitterのサイト運営者は,最近の連続攻撃を受けて,関連するシステムの復元,更新を続けているものの,サイバー犯罪者も,より新しく,より巧妙な攻撃を,休むことなく仕掛けている。

 最近,「HKTL_FAKEBOT」として検出されるスパム・ボット「Bot Lite」の存在が確認された。このスパム・ボットにより,自動的に作成される「つぶやき」(Tweet)が急増している。Bot Liteの高度で洗練された機能により,サイバー犯罪者はTwitterの運営者側にもユーザーにも気付かれることなく,Twitterサイトで不正活動を行うことが可能になった。「Bot Lite」は,「つぶやき」を自動化するために誰もが使える簡易なTwitterボット(グレイウエア)である。このプログラム自体は,不正活動に用途を限定したものではない。しかし,いったん不正ユーザーの手に渡ると,Twitter上で不正活動を行う道具になりかねない。不正なファイルをダウンロードさせるWebサイトのリンクを大量送信できるからである。

図1●スパム・ボット「Bot Lite」のGUI

 SNS(social networking service)サイトおよびマイクロブログ・サイトでメールの送信や「つぶやき」の更新を自動化すること自体は,ユーザーのコンピュータに害を与えるわけではない。しかし,この機能を広告目的のスパム活動に利用され,ユーザーにとって迷惑な「広告」活動を招いてしまった。

 Twitterの運営者が自分のブログでも述べているように,広告活動自体を嫌っているわけではない。逆にTwitterは,創造性と刺激に溢れるWeb産業の一部として,革新的な広告やマーケティング,広報活動に利用されてもよいと考えている。今回の攻撃の非難すべき点は,サイバー犯罪者がスパム・ボットを利用してTwitterユーザー・アカウントのリストを勝手に作成し,自らの利益のために不正な「つぶやき」をユーザーに送信したことだと指摘している。

 「Bot Lite」をダウンロードできるWebサイトによれば,このプログラムは,「実質誰でも使える簡易なTwitterボット」だ。このプログラムを宣伝しているWebサイトからダウンロードできるので,入手もいたって簡単である。ボットを入手すれば,GUI(graphical user interface)を用いて,ユーザーが連続してランダムに「つぶやき」をTwitterサイトに送信できるようになる。ユーザーがTwitterにログインし,Twitterユーザー・アカウントのリストを作成し,一定時間後にこのリストを投稿するといった利用方法も可能になる。ユーザーは,GUI内のテキストボックスに必要事項を記入し,ボタンをクリックするだけで,Twitterに「つぶやき」を送信したり,Twitterユーザー・アカウントのリストを作成したりできる。今回の攻撃では,サイバー犯罪者はボットの「つぶやき」自動送信機能を利用して「TROJ_FAKEAV.DAP」をばら撒くと同時に,不正リンクを大量送信するためにTwitterユーザー・アカウントのリストを利用した。

 スパム・ボット「Bot Lite」はURLを短くするアプリケーション「doiop.com」を利用し,投稿の送信元URLを隠ぺいする。不審なドメイン名に見せないようにURLを短縮し,ユーザーを罠にはめて不正なリンクをクリックさせようとしているのである。今回の攻撃では,ユーザーは不正なURLによりhttp://www.<省略>ryeasy.comにリダイレクトされる。この不正なWebサイトから,偽のレジストリ削除ツールがダウンロードされる可能性がある。

図2●「Registry Easy」のGUI

 「TROJ_FAKEAV.DAP」として検出される偽レジストリ削除ツールは,感染したコンピュータに自身をインストールし,実行するために複数のコンポーネント・ファイルを作成する。この不正プログラムは,インストール用のGUIを表示し,「Registry Easy 5.1.」という管理ツールのソフトウエア・パッケージをインストールしようとする。このソフトウエア・パッケージ内のツールのいずれかを使用すると,ユーザーは,このソフトウエアの完全版を購入するように指示される。購入しようとするユーザーは,登録ページ(http://www.<省略>ryeasy.com/register)にリダイレクトされる。不正プログラムはまた,\Program Files\Registry EasyRE.exeにスケジュールされたタスクを作成し,感染したコンピュータを毎週正午にスキャンする。